情報セキュリティ事業を展開する企業であるデジタルアーツは「勤務先における標的型攻撃の意識・実態調査」を行い、先月末に結果を発表しています。調査対象は全国の企業に勤める従業員　1,109名、情報システム管理者333名です。その中で標的型攻撃の対象になり得ると回答した従業員は４０．７％でした。約６割の人は標的型攻撃に遭う事を想定していないのです。情報システム管理者になると、７３．０％の人が標的型攻撃の対象になり得ると回答していますが、これも２割以上のシステム管理者が、自分の会社だけは標的型攻撃の対象にならないと考えているのです。

標的型攻撃に関しては、今年６月になって発覚した日本年金機構の情報漏えい事件で注目されましたが、それ以前から様々な企業、組織、そして個人が標的型攻撃の対象になっています。本連載の第2回、つまり２年半以上前にも「他人事ではない、標的型攻撃」という内容で紹介しています。題目通り、誰でもが標的型攻撃の対象になるのです。システム管理者でさえ、２割も他人事と考えているのも問題ですが、一般の従業員が、これだけセキュリティ教育や意識が叫ばれている中で６割も他人事と考えている事は大きな問題です。「標的型」という日本語での名前に引きずられて誤解している可能性もあります。不特定多数ではなく、特定の組織や個人を狙う攻撃方法が標的型の典型では有るのですが、必ずしも特定という言葉が特別な組織を指しているわけではありません。特に標的型攻撃の中でも、APT Attack（攻撃）とよばれている攻撃手法が本質なのです。APTとはAdvanced Persistent Threatの略で３つの単語が、攻撃内容を特色を表しています。Advancedとは「洗練された」という意味であり、無差別に攻撃するのではなく、相手の特性や弱点を研究し、手の混んだ高度な技術を駆使した攻撃法である事を意味します。Persistentとは「執拗な、しつこい」という意味であり、時間をかけて、幾度となく攻撃を続けるという意味です。そしてThreatとは「脅威」という意味で、相手にとって脅威となる、つまり被害が大きな攻撃であるということです。APT攻撃は必ずしも特別な組織だけを狙う方法ではないのです。

対策に関してはシステム管理者が「メールでの注意喚起・情報発信」が57.7％、次に「専門部署による研修会・勉強会で直接レクチャー」が42.6％と従業員への教育に力を入れているものの、従業員自身は研修等を受講した経験がないものが58.0％もいるのです。６割も標的型攻撃を受ける事はないと考えていることも考慮すれば、多くの企業が攻撃に対する防御として無力であると見なす事ができます。

標的型攻撃とは、いわば特定の人が攻撃の標的になるという意味ではなく、誰でもが標的になる、そしてAPT攻撃を受けるということなのです。対策を講じるとともに、APT攻撃であるゆえに、被害を受ける可能性があるということを認識し、被害を最小にする危機管理を行うべきなのです。そのためにも従業員全員の意識改革が求められます。